💬 Сохраняете детали вашего кошелька, начальная фраза в качестве фотографии на вашем телефоне? Этот троян может быть нацелен на вас

Сохраняете детали вашего кошелька, начальная фраза в качестве фотографии на вашем телефоне? Этот троян может быть нацелен на вас

Новая напряжение мобильного шпионского программного обеспечения, получившего название Sparkkitty, проникло в Apple App Store и Google Play, представляя в качестве криптовых и моддированных приложений, чтобы скрытно извлекать изображения семян и учетных данных кошелька.

Удолошение, по -видимому, является преемником SparkCat, кампании, впервые обнаруженной в начале 2025 года, в которой использовались поддельные модули чата для поддержки для тихого доступа к галереям пользователей и чувствительным к скриншотам.

Sparkkitty делает ту же стратегию еще на несколько шагов дальше, сообщили исследователи Касперского в понедельник.

В отличие от SparkCat, которая в основном распространяется через неофициальные пакеты Android, SparkKitty был подтвержден внутри нескольких приложений iOS и Android, доступных в официальных магазинах, включая приложение для обмена сообщениями с крипто -обменными функциями (с более чем 10 000 установки в Google Play) и приложение для iOS под названием «币 монета», записанная как портфельный трекер.

В основе варианта iOS лежит вооруженная версия фреймворка Afnetworking или Alamofire, где злоумышленники встроили пользовательский класс, который автоматически запускает приложение с использованием селектора +нагрузки Objective-C.

При запуске он проверяет скрытое значение конфигурации, получает адрес команды и контроля (C2), сканирует галерею пользователя и начинает загружать изображения. Адрес C2 инструктирует вредоносную программу о том, что делать, например, когда украсть данные или отправлять файлы, и получает украденную информацию обратно.

Вариант Android использует модифицированные библиотеки Java для достижения той же цели. OCR применяется через Kit Google ML для анализа изображений. Если обнаружена начальная фраза или закрытый ключ, файл помечается и отправляется на серверы злоумышленника.

Установка на iOS выполняется с помощью профилей предприятия, или метода, предназначенного для внутренних предприятий, но часто используется для вредоносных программ.

Жертвы обманывают вручную, доверяя сертификату разработчика, связанным с «Sinopec Sabic Tianjin Petrochemical Co. Ltd.», предоставляя разрешения на уровне системы Sparkkitty.

В нескольких адресах C2 использовались файлы зашифрованных конфигурации AES-256, размещенные на запутанных серверах.

После расшифровки они указывают на выборочных выборочных и конечных точек полезной нагрузки, такие как/API/PUTIMAGE и/API/GetImageStatus, где приложение определяет, загружать ли загружать или задержать передачи фотографий.

Исследователи Касперского обнаружили другие версии вредоносного ПО, использующего поддельную библиотеку OpenSSL (libcrypto.dylib) с запутанной логикой инициализации, что указывает на развивающий набор инструментов и множественные векторы распределения.

В то время как большинство приложений, по -видимому, предназначены для пользователей в Китае и Юго -Восточной Азии, ничто в вредоносном ПО не ограничивает его региональные возможности.

Apple и Google сняли рассматриваемые приложения после раскрытия, но кампания, вероятно, была активна с начала 2024 года и все еще может продолжаться через боковые варианты и магазины клонов, сообщили исследователи.

Подробнее: северокорейские хакеры нацелены на лучшие крипто -фирмы с вредоносными программами, скрытыми в приложениях работы